文档详情

openEuler系统管理与服务器配置 课件 第15章系统安全.pptx

发布:2025-05-21约1.06万字共33页下载文档
文本预览下载声明

第15章系统安全 openEuler系统管理与服务器配置

目录15.1项目一:Firewalld配置 15.1.1Linux防火墙工具概述 15.1.2Firewalld介绍15.1.3基于图形界面的Firewalld配置15.1.4基于命令行界面的Firewalld设置15.2项目二:SELinux的应用15.2.1SELinux的基本概念 15.2.2管理SELinux模式15.2.3管理SELinux上下文15.2.4管理SELinux布尔值本章小结

15.1项目一:Firewalld配置W公司为了精细控制内部网络流量,防止未经授权的访问和潜在的网络攻击,管理员计划通过配置Firewalld防火墙服务来限制其他端口的访问,并放行8080端口的访问流量,以确保正常业务的运行。那么,首先需要启动Firewalld,并设置开机自启动,然后将访问8080端口的流量管理策略设置为允许。序号知识点详见章节1防火墙概念15.1.1节2Firewalld的基本概念15.1.2节3利用图形界面配置Firewalld15.1.3节4利用命令行配置Firewalld15.1.4节

15.1.1Linux防火墙工具概述??1.防火墙的“价值与优势”????基础防线??:网络攻击的第一道屏障(降低入侵概率)??流量控制??:基于协议/IP/端口的访问权限筛选??策略执行??:强制实施安全规则(允许/拒绝服务与访问)??低成本高适用??:硬件/软件形态灵活,适配不同场景??2.防火墙的“致命短板”????协议盲区??:无法识别病毒文件(如邮件/社交工具传输的恶意程序)??内部攻击无效??:对内部人员或设备的违规行为无防护能力??物理攻击无能??:无法阻止自然灾害或人为物理破坏??策略依赖风险??:配置错误或漏洞直接导致安全失效??单点失效危机??:仅依赖防火墙=“一堵墙防所有风险”??3.应对策略??(解决方案)??纵深防御体系??:防火墙+入侵检测+终端防护+数据加密??动态安全策略??:定期更新规则,修复漏洞??零信任补充??:内部网络也需身份验证与最小权限控制

15.1.2Firewalld介绍1.openEuler防火墙架构背景????基础依赖??:基于CentOS,原使用iptables/ip6tables/ebtables/nftables管理规则,??实际数据过滤由内核Netfilter子系统实现??。??Firewalld取代传统工具??:后端默认使用nftables(替代iptables),底层调用nft命令,规则处理更高效。核心功能通过firewalldaemon守护进程动态管理规则,无需重启服务。

15.1.2Firewalld介绍??2.Firewalld核心优势(对比传统防火墙)??动态规则更新??: 规则修改实时生效,无需重启防火墙服务或重载内核模块。??区域化策略管理??: 预定义区域(如public、home、dmz),快速适配不同网络场景。双配置模式??: 支持运行时配置(临时生效)与永久配置(持久化保存)。多接口支持??: 兼容IPv4/IPv6、以太网桥接,提供CLI(firewall-cmd)和GUI配置方式。兼容性限制??: 无法解析通过iptables/ebtables手动添加的规则。

15.1.2Firewalld介绍??3.Firewalld五大核心功能????动态规则管理??: 规则更新实时同步内核,避免服务中断(传统工具需重启)。??命令行与状态可视化??: firewall-cmd命令灵活配置,系统托盘实时显示防火墙状态。??虚拟机集成支持??: 通过libvirt接口管理虚拟机防火墙规则(需PolicyKit权限)。??全局与进程级规则??: 支持系统全局规则和用户进程独立规则配置。??区域化策略模板??: 按场景选择区域(如trusted允许所有流量,block拒绝所有流量),简化复杂配置。

15.1.3基于图形界面的Firewalld配置通过执行以下命令打开Firewalld图形界面。#firewall-config图形界面启动成功,如下图所示如果软件界面是灰色的,则说明防火墙服务没有启动,需要先执行#systemctlstartfirewalld命令启动防火墙,再启动Firewalld图形界面

15.1.3基于图形界面的Firewalld配置各模块功能如下图:

15.1.3基于图形界面的Firewalld配置各模块功能介绍如下表:功能序号功能简介功能序号功能简介1【运行时】和【永久】模式的配置,【运行时】表示立即生效,【永久】表示重启后依然生效2可选的策略集合区域的列表3常用的系统服务列表4当前正在使用的区域5管理当前被选中区域中的服务6管理当前被

显示全部
相似文档